Социальная инженерия: бытовое хакерство мозга
Сегодняшний мир невозможен без средств коммуникации, компьютеров, интернета, мобильной связи. Это универсальные инструменты, которые помогают нам в работе, жизни. Но они же представляют некоторую опасность. Речь идет о безопасности личных данных, для защиты которых создаются многочисленные программы, протоколы. Поскольку человек — часть этого взаимодействия, именно наши человеческие качества не позволяют таким средствам безопасности быть максимально эффективными.
Злоумышленники были во все времена, в погоне за секретными данными они находили изощренные способы манипулирования сознанием человека. Сегодня эти методики применяются с использованием технологий, это называется социальной инженерией. Простыми словами, социоинженерия является хакерством, взломом нашей психики. Агенты спецслужб используют определенные уловки с целью разведывания данных, а социальные инженеры — особые техники. Как правило, их жертвами становятся люди доверчивые, психологические неустойчивые. Поэтому лучшей защитой от подобных атак является информационная подкованность. Умение вовремя заметить, что вами пытаются манипулировать, распознать скрытые мотивы за внешним дружелюбным обликом — все это навыки, которым можно научиться. Рассмотрим, что закладывается в основу методов социального инжиниринга.
Шифр для взлома
Чаще всего для получения необходимой информации используются телефонные звонки, электронная почта, физические носители информации. Пользователь сам выдает необходимые данные, поддаваясь уловкам мошенников. Социальный инженеринг используется не столько для воровства, сколько для дальнейшего использования данных. Среди его задач — шантаж, проведение финансовых махинаций, подрыв работы компании или предприятия, разведка. Объектами хакеров могут становиться отдельно взятые люди, а также целые корпорации — это уже проявление обратной социнженерии.
Троян
Понятие «троянского коня» знакомо нам всем из мифологии. В случае хакерской атаки используется любопытство человека, из-за которого он сам открывает все карты. Причем «открывает» — буквально. Это может быть электронное письмо или SMS с привлекательным призывом, замаскированным под реальную пользу. Например, ссылка на обновление программного обеспечения компьютера или смартфона. Разумеется, при переходе по ссылке активируется вирус, который ворует данные. При этом, на устройстве может появиться раздражающая реклама или окно, не позволяющее работать. За его удаление обычно требуются деньги, но иногда помогает переустановка программного обеспечения. Это удивительно, но очень много людей переходят по непроверенным, посторонним ссылкам.
Сценарий
Мы выполняем множество действий по определенному сценарию, наше поведение подвержено шаблонам, это нормально. Так мозг экономит энергию, упрощает нам жизнь. И хакерам — тоже. Общие знания психологии людей, умение предугадывать их дальнейшие действия позволяют «подвести» пользователя к какому-то конкретному поступку. Чаще всего этот прием используется в телефонных звонках или мессенджерах. Злоумышленник заранее узнает информацию о жертве (дату рождения, место работы) и оперируя ей входит в доверие. Например, представившись сотрудником банка, может получить доступ к счетам. Мы настолько привыкли к стандартным звонкам различных компаний, что уже выработали определенный сценарий разговора. Именно это позволяет хакерам добраться до наших данных.
Обратных подход
Как и все остальные приемы, обратная социнженерия подразумевает, что пользователь самостоятельно выдаст все данные. Но здесь существует дополнительная уловка — пользователь сам придет за помощью прямо в руки хакеров. Для этого намеренно создаются ситуации, в которых человек вероятнее всего обратится к конкретному «специалисту» — это решение юридических проблем, содействие при сложных сделках. Для этого требуется тщательная подготовка. Человека или группу людей изучают, чтобы выявить их уязвимые места, интересы, планы. Например, разработчики программного обеспечения оказывают услуги для конкретной компании, опираясь на их направление деятельности. Здесь все логично — подрядчики выполняют работу и прощаются с компанией. Однако во время работы устанавливаются «бомбы замедленного действия», в результате через некоторое время программы начинают сбоить. Тут-то компания обращается за помощью все к тем же разработчикам, чтобы они решили проблему. Вместе с этим, хакеры получают конфиденциальную информацию.
Я буду защищаться!
Как предотвратить подобные атаки и что нужно делать для защиты данных? Поскольку социальная инженерия направлена на работу с психикой человека, нужно тренировать психическую устойчивость, специальные навыки распознавания манипулирования. Высокий уровень эмоционального интеллекта и критическое мышление не позволят принимать необдуманных сиюминутных решений. В крупных компаниях проводит специализированные тренинги, даже «подставные» атаки, чтобы научить сотрудников противодействовать хакерам.
Кроме того, не стоит забывать о бесконечном источнике наших личных данных — собственном смартфоне. Разберитесь в настройках и тонкостях используемых программ, поставьте максимальную защиту, не передавайте свои данные никому. Зачастую мы отдаем информацию неосознанно, даже не замечая этого. Тренируйте внимание каждый день, чтобы не попасться на уловки мошенников.